Home
Kennis
Artikelen
Cyber Security Raad roept op tot spoedreparatie Wbni voor versneld delen van incidentinformatie door NCSC

Cyber Security Raad roept op tot spoedreparatie Wbni voor versneld delen van incidentinformatie door NCSC

De CSR heeft de minister van Justitie en Veiligheid onlangs opgeroepen om vaart te zetten achter het creëren van mogelijkheden voor het Nationaal Cyber Security Centrum (NCSC) om informatie over cyberincidenten te delen met belangrijke schakelorganisaties.

Markeer als favoriet

Leestijd

Auteur artikel Nynke Brouwer

Gepubliceerd 02 maart 2021

Laatst gewijzigd 02 maart 2021

Het NCSC heeft een belangrijke taak om dreigings- en incidentinformatie te verspreiden, zodat organisaties en uiteindelijk ook eindgebruikers tijdig de juiste maatregelen kunnen treffen. Dit informatiemechanisme kan een belangrijke bijdrage leveren aan het voorkomen van cyberincidenten. Het NCSC loopt echter tegen juridische beperkingen aan om deze informatie daadwerkelijk te kunnen delen. Dat is onwenselijk. De minister van Justitie & Veiligheid heeft begin dit jaar al aangekondigd dat hij een wijziging van de Wbni zal bezien. Een wetswijziging kost echter tijd. De CSR roept dan ook terecht op om het langdurige proces van een wetswijziging niet af te wachten, maar de obstakels door middel van een spoedreparatie van de wet weg te nemen.

Wbni: meldplicht cyberincidenten voor aanbieders van essentiële diensten, andere vitale aanbieders en digitaledienstverleners

De Wet beveiliging netwerk- en informatiesystemen (Wbni) is de Nederlandse implementatie van de Europese Richtlijn Beveiliging Netwerk- en Informatiesystemen (NIB-Richtlijn). De Wbni en het bijbehorende Besluit beveiliging netwerk- en informatiesystemen (Bbni) schrijven onder andere bepaalde beveiligingsvereisten voor.

Daarnaast bepaalt de Wbni dat aanbieders van essentiële diensten (AED’s), andere vitale aanbieders en digitaledienstverleners bij cyberincidenten die aanzienlijke gevolgen hebben voor de continuïteit van de verleende (essentiële) dienst een melding moeten maken bij het NCSC. AED’s moeten daarnaast ook melden bij de sectorale toezichthouders. De digitaledienstverlener moet ook melden bij het CSIRT voor digitale diensten.

Welke bedrijven zijn aangewezen als AED’s is bepaald in het Bbni en betreft bedrijven en organisaties in verschillende sectoren:

Energie: netbeheerders van de hoogspanningsnetten en het gastransportnet, de NAM en de Stichting Centraal Orgaan Voorraadvorming Aardolieproducten;
Vervoer: De Divisie Havenmeester van het Havenbedrijf Rotterdam, Schiphol, de Luchtverkeersleiding, Maastricht Upper Area Control Centre, Aircraft Fuel Supply, de Koninklijke marchaussee en elke luchtvaartmaatschappij met minimaal 25% van het totaal aantal vliegbewegingen op Schiphol per kalenderjaar;
Bankwezen: kredietinstellingen die bij besluit van DNB zijn aangewezen;
Infrastructuur voor de financiële markt: bij besluit van DNB aangewezen exploitanten van handelsplatformen en centrale tegenpartijen;
Drinkwater: drinkwaterbedrijven in de zin van de Drinkwaterwet;
Digitale infrastructuur: bijvoorbeeld de aanbieder van een internetknooppunt.

‘Andere vitale aanbieders’ zijn in de Bbni aangewezen in de volgende sectoren: nucleair, keren en beheren, financieel en elektronische communicatienetwerken en -diensten/ICT. Deze laatste categorie betreft netwerken die telefoon-, sms- of internettoegangsdienst aan minimaal 1 miljoen eindgebruikers aanbieden.

Taak NCSC: informeren over dreigingen en incidenten met betrekking tot netwerk- en informatiesystemen

Artikel 8 van de NIB-Richtlijn schrijft de Lidstaten voor om minstens één centraal contactpunt voor de beveiliging van netwerk- en informatiesystemen aan te wijzen. In Nederland is dat het NCSC. In die hoedanigheid ontvangt het NCSC niet alleen de meldingen van cyberincidenten, maar ook, zo schrijft de CSR, “elke dag duizenden meldingen over Nederlandse IP-adressen waar zich gecompromitteerde systemen bevinden.”

Op grond van artikel 3 lid 1 Wbni moet het NCSC op de eerste plaats de overheid en de vitale aanbieders informeren en adviseren over dreigingen en incidenten met betrekking tot netwerk- en informatiesystemen. Op de tweede plaats moet het NCSC deze dreigingsinformatie delen met andere partijen die in de Wbni zijn voorgeschreven, de zogenaamde ‘schakelorganisaties’:

Zogeheten OKTT’s (Organisaties die Kenbaar Tot Taak hebben om andere organisaties of het publiek over deze dreigingen te informeren). Dit zijn:
Computer Security Incident Response Teams (CSIRT);
Andere computercrisisteams, aangewezen bij ministeriële regeling. Dit zijn:
- Z-CERT voor de zorg;
- IBD voor gemeenten;
- CERT Watermanagement voor de waterschappen;
- SURFcert voor onderwijs en onderzoek.
Aanbieders van internettoegangs- en internetcommunicatiediensten, zodat deze hun gebruikers kunnen informeren.

Het doorgeven van informatie aan deze schakelorganisaties is belangrijk. Indien het NCSC zich enkel zou richten op de vitale infrastructuur, wordt een belangrijk deel van de Nederlandse bedrijven en organisaties, zoals het MKB en ZZP’ers, gemist. Het is dan ook niet voor niets dat één van de doelstellingen van de Nationale Cyber Security Agenda (NCSA) luidt dat er een landelijk dekkend stelsel van cybersecurity samenwerkingsverbanden wordt ingericht waarin informatie over cybersecurity breder, efficiënter en effectiever wordt gedeeld tussen publieke en private partijen.

Specifiek voor de niet-vitale sector is in 2018 het Digital Trust Center (DTC) opgericht. Op dit moment staat in ieder geval het DTC ook op de lijst om te worden gekwalificeerd als OKTT. Op die manier is het verspreidingsbereik van relevante informatie veel groter.

Obstakels bij delen informatie

Voor een goed werkend landelijk dekkend stelsel van cybersecurity is het uitwisselen van informatie een vereiste. Dan moeten natuurlijk wel alle relevante partijen worden bereikt. Al eerder is in onderzoek geconstateerd dat dat op dit moment niet het geval is. Er bestaan juridische obstakels die het delen van dreigingsinformatie in de weg staan, bijvoorbeeld waar het gaat om persoonsgegevens en herleidbare vertrouwelijke informatie. Bij persoonsgegevens kan de Algemene Verordening Gegevensbescherming (AVG) een probleem zijn. Bij herleidbare vertrouwelijke informatie is dit, gek genoeg, de Wbni zelf, zo constateert de CSR.

Bij het uitwisselen van dreigingsinformatie gaat het vaak over grote hoeveelheden data, bijvoorbeeld vele IP-adressen. Uit Europese rechtspraak blijkt dat IP-adressen kunnen worden aangemerkt als persoonsgegevens in de zin van de AVG. Dat betekent dat voor het delen van die gegevens (de ‘verwerking’) een grondslag nodig is. Op zich kan het NCSC zich waar het gaat om delen van informatie met de vitale sector beroepen op de uitvoering van haar wettelijke taak van openbaar belang, zoals neergelegd in de Wbni (artikel 6 lid 1 sub e AVG). Gaat het echter om de niet-vitale sector, dan is het gebruik van deze grondslag lastig vanwege het in de AVG opgenomen noodzakelijkheidsvereiste. Als het NCSC de gegevens doorgeeft aan bijvoorbeeld de OKTT’s of computercrisisteams en deze organisaties kunnen daar vervolgens op hun beurt niets mee, dan is de vraag of het NCSC wel aan het noodzakelijkheidsvereiste voldoet. Dit leidt tot een beperking van het delen van informatie en tot extra handelingen en onderzoek door zowel het NCSC en de ontvangende schakelorganisaties.

Met betrekking tot ‘vertrouwelijke informatie’ is een onderscheid te maken tussen herleidbare en niet-herleidbare vertrouwelijke informatie. Vertrouwelijke informatie die herleidbaar is tot een aanbieder, mag het NCSC slechts met een beperkt aantal partijen delen, namelijk de CSIRT’s, de aangewezen computercrisisteams en de inlichtingen- en veiligheidsdiensten (artikel 20 lid 2 Wbni). De OKTT’s staan hier dus niet bij.

Dreigingsinformatie, die soms ook persoonsgegevens bevat, mag wél met de OKTT’s worden gedeeld (zie hiervoor). Dreigingsinformatie kan echter ook herleidbare vertrouwelijke informatie bevatten, die niet met de OKTT’s mag worden gedeeld. Dit leidt ertoe dat het NCSC informatie over bijvoorbeeld kwetsbaarheden in systemen van specifieke bedrijven niet met de OKTT’s mag delen. Het spreekt voor zich dat dit niet wenselijk is, omdat dit een obstakel vormt voor een adequaat landelijk dekkend stelsel van cybersecurity.

Oproep CSR

De urgentie van gecoördineerde betere cybersecurity is groot. Berichten over grote cyberincidenten verschijnen steeds vaker in de media. De afhankelijkheid van ICT, zowel wat betreft gegevens(verwerking) als operationele processen, is volledig; analoge alternatieven zijn steeds minder beschikbaar.

Vanwege deze urgentie adviseert de CSR de regering om echt vaart te zetten achter de wijziging van de Wbni, bijvoorbeeld via een spoedreparatie, zodat het delen van dreigings- en incidenteninformatie soepeler verloopt. Deze oproep lijkt mij meer dan terecht. Laten we hopen dat de regering dit inderdaad met hoge prioriteit oppakt.

Vragen?

Heeft u vragen over uw wettelijke verplichtingen rondom cybersecurity, privacy of heeft u hulp nodig bij cyberincidenten? Neem dan contact op met Nynke Brouwer of een van de andere leden van het Dirkzwager Cybersecurity Team.

Beoordeel dit artikel

Deel of print

Geschreven door

Nynke Brouwer Niet meer werkzaam bij Dirkzwager

Ik ben gespecialiseerd in het aansprakelijkheids- en verzekeringsrecht. In het bijzonder houd ik mij bezig met cyberrisico's, cybersecurity, cyberverzekeringen en privacy. Op 7 oktober 2021 heb ik met succes mijn proefschrift, getiteld 'De cyberverzekering vanuit civielrechtelijk perspectief', verdedigd aan de Radboud Universiteit Nijmegen. In 2021 werd ik uitgeroepen tot Legal Woman of the Year. Lees meer

Contactpersoon

Mark Jansen Stuur een e-mail 06 2214 29 65

Expertises

Aansprakelijkheid & Verzekering, Cybersecurity, IT-recht / ICT-recht, Privacyrecht

Sectoren

Banking & Finance, Energie, Food & Agri, Handel & Transport, Internationaal, Ondernemingen, Onderwijs, Overheden, Vastgoed, Verzekeraars, Zorg

Gerelateerde events

Event

23 mei 2024

Energie-event 2024

Stap binnen in de wereld van morgen en kom alles te weten over juridische aspecten en kansen rondom netcongestie, energiehubs, financiering, warmte en de Omgevingswet. Ontdek aan de hand van praktijkvoorbeelden hoe regelgeving de weg vrijmaakt voor duurzame energie-initiatieven. Dit evenement voor professionals in de energietransitie vindt plaats op 23 mei 2024 bij Connectr, dé hub voor de energietransitie. We zorgen ervoor dat het een waardevolle middag is en kijken er naar uit u te verwelkomen op 23 mei. Zijn collega’s geïnteresseerd? Ook zij kunnen zich via de aanmeld-button inschrijven.

Arnhem

Seminar

30 mei 2024

Privacy: strategisch omgaan met betrokkenen

Het privacyrecht kent de betrokkenen diverse rechten toe. Ook kan er schadevergoeding worden geclaimd wanneer er privacyrechtelijk iets misgaat. In de praktijk zien we dat de betrokkenen steeds assertiever wordt en die rechten ook echt uitoefent en claims instelt. Niet alle organisaties zijn daar goed op voorbereid. Donderdag 30 mei organiseert het privacyteam van Dirkzwager een seminar waarin alle vragen worden beantwoord die spelen bij de omgang met de betrokkene.